Lenovo on jäänyt kiinni asentamasta useisiin kannettaviin tietokoneisiinsa mainosohjelmia, jotka saattavat jättää asiakkaat täysin haavoittuvaiksi tietoverkkorikollisille, jotka haluavat varastaa heidän tietojaan.
Ohjelmisto, nimeltään Superfish Visual Discovery, tuli esiasennettuna Lenovon koneisiin ja voi lisätä kolmannen osapuolen mainoksia Google ja muut haut suoritettiin Internet Explorerilla (IE) ja Chromella, samalla kun ne näyttävät aidolta mainokselta tuloksia.
Tekniikka on raivostuttanut monia käyttäjiä ja kiinnitti Lizard Squadin huomion, joka hakkeroi Lenovon verkkosivuston ilmeisessä kostohyökkäyksessä.
Kuluttajat alkoivat valittaa Superfish Visual Discoverysta, joka voi myös tuottaa ponnahdusikkunoita ja aiheuttaa sen, että jotkin verkkosivustot eivät renderöi kunnolla, jo syyskuussa 2014. Kesti kuitenkin tämän vuoden tammikuun 23. päivään asti, ennen kuin Lenovo myönsi käyttäjien valitukset siitä, että se oli muutakin kuin pelkkä roskaohjelma.
Mark Hopkins, Lenovon sosiaalisen median ohjelmapäällikkö, julkaisi lausunnon
Lenovon foorumeilla vakuuttaa asiakkaille, että mainosohjelma ei seuraa heidän online-käyttäytymistään ja että tekniikka on "puhtaasti asiayhteyteen/kuvaan perustuvaa eikä käyttäytymiseen perustuvaa".Superfish turvallisuusuhka
Tästä huolimatta tämän ohjelmiston käyttövalmius on herättänyt vakavaa huolta sekä yksityisyyden että turvallisuuden näkökulmasta.
Ensinnäkin Superfish Visual Discoveryn loi kolmannen osapuolen yritys nimeltä Superfish, joka ei kuulu Lenovoon. Siksi kaikki ohjelman keräämät tiedot lähetetään takaisin kolmannelle osapuolelle.
Turvallisuuspuolella jotkut ovat väittäneet, että Superfishin voidaan ajatella olevan "mies-in-the-middle" -haittaohjelma, mukaan lukien Facebookin suunnittelujohtaja Mike Shaver.
Lenovo asentaa uusiin kannettaviin tietokoneisiin MITM-sertifikaatin ja välityspalvelimen nimeltä Superfish, jotta se voi lisätä mainoksia? Joku sanoi minulle, että se ei ole se maailma, jossa minä olen.
- Mike Shaver (@shaver) 19. helmikuuta 2015
Lisäksi Superfishin itse allekirjoitettu pääturvasertifikaatti näyttää antavan saman käyttöoikeustason kuten Microsoft, mikä tarkoittaa, että se voi lukea tietoja, jotka on lähetetty oletettavasti suojattujen SSL-yhteyksien kautta, kuten verkossa pankkitoimintaa.
Vaikka ei ole merkkejä siitä, että Superfish tai Lenovo olisivat suorittaneet tällaista nuuskimista, se saattaa olla tekee käyttäjistä haavoittuvia hyökkäyksille, jos hakkeri saa haltuunsa ohjelman päävarmenteen yksityisen avain.
Koska sertifikaatti antaa Superfishille Windowsissa saman tason oikeudet kuin Microsoftille, se voisi sen mukaan tietoturvabloggaajat Decent Security, jota verkkorikolliset käyttävät suunnitellakseen haittaohjelmia, joiden kirjoittaja vaikutti olevan Microsoft. Tämä saattaa sallia haittaohjelmien torjuntaohjelmiston havaitsematta haittaohjelman, jolloin käyttäjät ovat täysin haavoittuvia.
Tätä skenaariota pahentaa se, että Superfish käyttää ilmeisesti samaa avainta kaikille asennukset, eli kun pahantahtoisella toimijalla oli yhden koneen avain, heillä olisi avain kaikille heille.
.@akatakritos@ETFovac@__apf__#superkala Sinun: http://t.co/JhaE5UqOQJ Kaivos: http://t.co/F2RXfz8blF Sama RSA-moduuli ja SPKI. 😐
- Chris Palmer (@fugueish) 19. helmikuuta 2015
Chris Boyd, Malwarebytesin haittaohjelmatiedon analyytikko, kertoi PC Pro: "Esiasennettu ohjelmisto on aina huolenaihe, koska ostajalla ei useinkaan ole helppoa tapaa tietää, mitä ohjelmisto tekee – tai jos sen poistaminen aiheuttaa järjestelmäongelmia myöhemmässä vaiheessa. Vaikka puhdas käyttöjärjestelmän asennus on parempi, se ei ole aina käytännöllistä – palautus-/tehdasasetuspainikkeen painaminen uusi kone antaa sinulle takaisin ohjelmat, jotka olet juuri yrittänyt poistaa, eikä kaikilla ole pinoa käyttöjärjestelmälevyjä käsillä.
"Tässä nimenomaisessa tapauksessa jokaisen, jota asia koskee, tulee poistaa Superfish-ohjelmiston asennus ja kirjoittaa certmgr.msc Windows-hakupalkkiin – sieltä he voivat löytää ja poistaa siihen liittyvän juuren todistus."
On myös kysymys Lenovon Superfishin esiasennuksen laillisuudesta käyttäjien tietokoneille.
Asianajaja David Marchese, kansainvälisen lakiasiainverkoston Globalaw englantilainen jäsen, kertoi PC Pro: ”Oikeudellisesta näkökulmasta katsottuna… kysymys kuuluu, käyttääkö joku kuluttajan henkilötietoja ilman hänen ennakkosuostumusta tai muuta laillista perustetta? Lähetetäänkö kuluttajan henkilötietoja ETA: n ulkopuolelle ilman suostumusta ja niin edelleen."
Marchese sanoi, että Lenovon käytöksestä järkyttyneet voivat myös nostaa siviilioikeudellisen kanteen yritystä vastaan.
"Jos kuluttaja ostaa tietokoneen, jossa on sisäänrakennettu uhkia hänen turvallisuudelleen, se näyttäisi johtavan vuoden 1979 tavaroiden myyntilain mukaisiin perusvaatimuksiin", hän sanoi.
PC Pro otti myös yhteyttä Information Commissioner’s Officeen (ICO), joka valvoo viestintää ja datan sääntelyä ja standardeja Yhdistyneessä kuningaskunnassa. Tiedottaja sanoi: "Olemme tietoisia huolista, joita on ilmaistu Lenovon kuluttajien tietojen käsittelystä, ja teemme kyselyitä saadakseen täydelliset tiedot."
Superfish: Lenovon vastaus
Lenovo kertoi lausunnossaan PC Pro: "Lenovo poisti Superfishin uusien kuluttajajärjestelmien esilatauksista tammikuussa 2015. Samaan aikaan Superfish esti markkinoilla olevien Lenovon koneiden aktivoimisen Superfishin kanssa.
"Superfish on kokonaan poistanut palvelinpuolen vuorovaikutuksen (tammikuusta lähtien) kaikista Lenovon tuotteista, joten tuote ei ole enää aktiivinen. Tämä poistaa Superfishin käytöstä kaikista markkinoilla olevista tuotteista", Lenovo sanoi.
"Olemme tutkineet tätä tekniikkaa perusteellisesti, emmekä löydä todisteita turvallisuuteen liittyvistä huolenaiheista. Mutta tiedämme, että käyttäjät reagoivat ongelmaan huolestuneena, joten olemme ryhtyneet suoriin toimiin lopettaaksemme kaikkien tällä ohjelmistolla varustettujen tuotteiden toimittamisen", se lisäsi.
Lenovo kertoi meille myös, että Superfish "oli esiladattu vain tiettyihin kuluttajamalleihin". Asiasta tehdyt valitukset näyttävät kuitenkin olevan ristiriidassa tämän kanssa Lenovon foorumi että ohjelma on aiheuttanut sen, että IE ei tunnista .Net-älykortteja, joita käytetään turvallisuuteen ja pääsynhallintaan joissakin yrityksissä.
Yhtiö sanoi, että se "tutkii perusteellisesti kaikkia ja kaikkia uusia Superfishiin liittyviä huolenaiheita".
Kerro meille kommenteissa, jos sinulla on ollut vastaavia ongelmia. Päivitämme myös tämän artikkelin, kun uutta tietoa tulee saataville.
Kuinka tunnistaa, onko sinulla Superfish
Päivittää:Vaughn Highfield: Jos sinulla on Lenovo-kannettava, etkä ole varma, onko sinun huolehdittava siitä, että Superfish kaappaa liiketoimiasi, on useita tapoja nähdä, onko sinulla Superfish käynnissä konepellin alla.
Yksi varma tapa tietää, että olet kunnossa, on ostaa kannettava tietokone Microsoftin Signature-kannettavien tietokoneiden valikoimasta. Nämä kannettavat tietokoneet toimitetaan täysin ilman bloatware-ohjelmia, joten tiedät, että saat täysin turvallisen laitteen, joka ei ole juuttunut turhaan – ja mahdollisesti vaaralliseen – roskaan.
Jos et tehnyt niin, voit jatkaa tämä Superfish CA -testi ja se kertoo sinulle melko selvästi, jos Superfish sieppaa viestintäsi. Siinä on myös hieman värikkäämpi versio LastPass blogi, jossa on ohjeet ohjelman poistamiseen ja vanhat varmenteet.
Vaikka saatat vain ajatella "oi kuinka paha se voisi olla?" On syytä huomata, että noin tunnin sisällä Superfishin löydöstä, Errata Securityoppaan, joka näyttää, kuinka helppoa kenen tahansa on murtautua sisään ja nähdä tarkalleen, mitä teet tietokoneellasi.
Pelottavia juttuja tosiaan.
